「Exchange Server」「Exchange Online」の情報漏えいを防ぐ2つの対策：Exchange「Autodiscover」の脆弱性とは【中編】

「Exchange Server」「Exchange Online」の自動設定検出機能「Autodiscover」の脆弱性は、情報漏えいを招く恐れがある。この問題を指摘したGuardicoreは、どのような対策を呼び掛けているのか。

[Alexander Culafi，TechTarget]

　セキュリティベンダーGuardicoreは、Microsoftのメールサーバ製品「Exchange Server」およびメールサービス「Exchange Online」の設定自動検出機能「Autodiscover」の脆弱（ぜいじゃく）性を発見した。この脆弱性はAutodiscoverが設定を自動検出する際、検出対象となるURLの生成方法に問題があることに起因する。

併せて読みたいお薦め記事

Microsoft製品の脆弱性

• Windows「RDP」の脆弱性が「Hyper-V」に影響か　VMからホストを攻撃可能に
• WindowsのRDP脆弱性「BlueKeep」の悪用例をついに観測　その影響は
• 「Microsoft Edge」からパスワードを盗む攻撃手法が判明、対策はほぼなし？

「Exchange」を守るには、どう対策すればよいのか

　Autodiscoverの脆弱性は新しい問題ではない。Shape Securityは2017年にAutodiscoverの脆弱性「CVE-2016-9940」「CVE-2017-2414」を発見し、同年のセキュリティイベント「Black Hat Asia 2017」で調査結果を発表した。当時これらの脆弱性は、モバイルデバイスのメールクライアントに影響するという事実しか判明していなかった。

　その後、脅威ははるかに拡大した。メールクライアント以外のアプリケーションもAutodiscoverの脆弱性の影響を受けることが分かったからだ。「われわれはこうした状況に対処しなければならない」と、Guardicoreのセキュリティリサーチ担当エリアバイスプレジデントのアミット・サーパー氏は述べる。

　Guardicoreが公開したレポートは、Autodiscoverの脆弱性による影響を軽減する2つの方法を提示する。

　1つ目はExchange ServerやExchange Onlineユーザー向けのものだ。Guardicoreは以下の事項を推奨する。

• ファイアウォールでURLに「Autodiscover.」を含む通信をブロックする
• Exchange ServerやExchange Onlineをセットアップする際に、HTTPの基本認証（ベーシック認証）を無効にする
  • HTTPの基本認証は、HTTPリクエスト（Webサーバへの応答要求）のたびに資格情報（IDとパスワード）を送信する仕組みだ。そのため通信路暗号化を利用していない場合に、資格情報が漏えいするリスクが高まるとMicrosoftは説明する。

　2つ目はソフトウェア開発者向けのものだ。「開発者は、Autodiscoverが誤った手順を踏む“ありがた迷惑”な存在にならないようにしなければならない」とサーパー氏は説明する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。